Pobierz
najnowszy numer

Newsletter

Zapisz się do naszego Newslettera, aby otrzymywać informacje o nowościach z branży!

Jesteś tutaj

Nowe "stare sprawy", czyli słów kilka o ochronie informacji niejawnych

Printer Friendly and PDF

Jako wieloletni pracownik pionu ochrony informacji niejawnych, chciałbym zwiększyć zainteresowanie tym problemem, w szczególności zaś zwrócić nań uwagę osób odpowiedzialnych ustawowo za istniejące niedociągnięcia. W niniejszym artykule wskażę nowe rozstrzygnięcia ustawowe i odwołam się do historycznego rysu zmian w normach dotyczących bezpieczeństwa informacji oraz zasad zarządzania nimi.

Przekorny tytuł niniejszego artykułu jest wynikiem wielogodzinnej dyskusji między praktykami rzemiosła zwanego ochroną informacji niejawnych, dotyczącej zmian wprowadzonych w opublikowanym jednolitym tekście ustawy o ochronie informacji niejawnych.
Grono ludzi z OSPOIN (Ogólnopolskie Stowarzyszenie Pełnomocników Ochrony Informacji Niejawnych), zajmujących się na co dzień problematyką ochrony informacji niejawnych (ale również innymi informacjami chronionymi ustawowo oraz prawnie), podjęło kwestię oceny rzeczywistego wdrażania ustaleń zawartych w niżej wymienionych przepisach prawnych:

  1. Umowa z dnia 6 marca 1997 r. między stronami Traktatu Północnoatlantyckiego o ochronie informacji, Bruksela (Dz. U. z dnia 7 sierpnia 2000 r. Nr 64, poz. 740).
  2. Oświadczenie z dnia 29 grudnia 1999 r. o ochronie informacji (Dz. U. z dnia 7 sierpnia 2000 r. Nr 64, poz. 741).
  3. Ustawa z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (tekst jednolity: Dz. U. z 2005 r. Nr 196, poz. 1631).
  4. Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie szczegółowego trybu przygotowania i prowadzenia przez służby ochrony państwa kontroli w zakresie ochrony informacji niejawnych (Dz. U. Nr 171, poz. 1430).
  5. Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie wzorów poświadczenia bezpieczeństwa, decyzji o odmowie wydania poświadczenia bezpieczeństwa oraz decyzji o cofnięciu poświadczenia bezpieczeństwa (Dz. U. Nr 171, poz. 1431).
  6. Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie wzorów zaświadczeń stwierdzających odbycie szkolenia w zakresie ochrony informacji niejawnych (Dz. U. Nr 171, poz. 1432).
  7. Rozporządzenie Prezesa Rady Ministrów z dnia 25 sierpnia 2005 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. Nr 171, poz. 1433).
  8. Rozporządzenie Prezesa Rady Ministrów z dnia 29 sierpnia 2005 r. w sprawie wysokości i trybu pobierania, przez służbę ochrony państwa, opłat za przeprowadzenie postępowania bezpieczeństwa przemysłowego, sprawdzeń oraz postępowań sprawdzających (Dz. U. Nr 174, poz. 1447).
  9. Rozporządzenie Prezesa Rady Ministrów z dnia 29 września 2005 r. w sprawie trybu i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów zawierających informacje niejawne (Dz. U. Nr 200, poz. 1650).
  10. Rozporządzenie Prezesa Rady Ministrów z dnia 30 września 2005 r. w sprawie wysokości opłat za przeprowadzenie przez służbę ochrony państwa czynności z zakresu bezpieczeństwa teleinformatycznego (Dz. U. Nr 200, poz. 1652).
  11. Rozporządzenie Prezesa Rady Ministrów z dnia 5 października 2005 r. w sprawie sposobu oznaczania materiałów, umieszczania na nich klauzul tajności, a także zmiany nadanej klauzuli tajności (Dz. U. Nr 205, poz. 1696).
  12. Rozporządzenie Rady Ministrów z dnia 8 września 2005 r. w sprawie w sprawie wzorów kwestionariusza bezpieczeństwa przemysłowego, świadectwa bezpieczeństwa przemysłowego, decyzji o odmowie wydania świadectwa bezpieczeństwa przemysłowego oraz decyzji o cofnięciu świadectwa bezpieczeństwa przemysłowego (Dz. U. Nr 208, poz. 1504).
  13. Rozporządzenie Rady Ministrów z dnia 18 października 2005 r. w sprawie organizacji i funkcjonowania kancelarii tajnych (Dz. U. Nr 181, poz. 1741).
  14. Rozporządzenie Rady Ministrów z dnia 31 października 2005 r. w sprawie przekształcenia Ministerstwa Spraw Wewnętrznych i Administracji (Dz. U. Nr 220, poz. 1883).
  15. Rozporządzenie Ministra Obrony Narodowej z dnia 19 października 2005 r. w sprawie szczegółowych zadań pełnomocników ochrony oraz szczególnych wymagań w zakresie ochrony fizycznej informacji niejawnych w jednostkach organizacyjnych podległych Ministrowi Obrony Narodowej lub przez niego nadzorowanych (Dz. U. Nr 215, poz. 1821).
  16. Rozporządzenie Rady Ministrów z dnia 6 października 2005 r. w sprawie współpracy z SIS II i VIS [systemy informacyjne UE] (Dz. U. Nr 196, poz. 1629).

* * *
Wymienione przepisy UE, tzn. SIS i VIS z racji specyfiki działań skierowanych przeciw terroryzmowi i zorganizowanej przestępczości międzynarodowej, mają charakter niejawny i dotyczą w znacznej części ochrony bezpieczeństwa publicznego oraz danych osobowych. Na kanwie wspólnych rozważań trudno było nam (OSPOiN) o jednoznaczną ocenę bieżących wdrożeń - tak nowelizacji, jak i towarzyszących jej zmienionych rozporządzeń, bo po prostu jest zbyt dużo rozbieżnych opinii - stąd odniesienie autora do własnych, osobistych doświadczeń.
Niejako w tle tych rozstrzygnięć ustawowych jawi się szereg zmian normatywnych w dokumentach dotyczących bezpieczeństwa informacji. Chociaż normy przyjmowane są przez środowiska biznesowe w sposób dobrowolny (za wyjątkiem obligatoryjnie obowiązujących w Polsce Norm Obronnych), to przecież ich nowa rodzina - ISO 2700xx - powinna wzbudzić nieco więcej zainteresowania (choćby ze względu na swój rodowód, prezentowany jako rys historyczny prac normatywnych - Rys. 1).

 

Rys historyczny prac normatywnych

 

Warto pamiętać, że choć normy (ISO, EN, PN, BS, DIN, VdS i inne) są dobrowolne, to wymagania ustawowe mają jednoznacznie obowiązujący charakter prawny, obciążony rygorem karnej egzekucji w przypadku ich zaniedbania.

Można tutaj prowadzić wiele wielowątkowych polemik, ale wszystko sprowadza się do prozaicznego stwierdzenia: kochani szefowie firm - pamiętajcie, że o ile za pomyłki biznesowe się płaci (czasami nawet dość duże pieniądze), to za zaniedbania w ochronie informacji - szczególnie tych niejawnych - się siedzi (i to po parę lat). Prokurator mocą prawa nie sięga szefowi firmy do kieszeni; zamiast tego funduje mu "wczasy" (np. na ul. Rakowieckiej 27 w Warszawie). Taki bowiem może być efekt niedopełnienia służbowych obowiązków ustawowych i nieprzestrzegania zasad zawartych w Rozdz. III Art. 18. ust. 1 tekstu jednolitego ustawy o ochronie informacji niejawnych (patrz: t.j. Dz. U. z 2005 r. Nr 196, poz. 1631).

Pragnę tutaj przypomnieć szefom wielu spółek krajowych i ponadnarodowych, że nieznajomość (czytaj: omijanie i lekceważenie prawa RP) nie zwalnia ich od odpowiedzialności, a czasami - z racji wielomiesięcznych zaniedbań - potrafi zadać wieloletnią penitencjarną pokutę.

Pragnę podkreślić, że piszę o tym wszystkim również gwoli przypomnienia - szczególnie tym, którzy w świetle nowych ustaleń chcą lekką ręka sięgać po dobrodziejstwa obowiązującego obecnie wieloletniego Świadectwa Bezpieczeństwa Przemysłowego (ŚBP) dla kierowanej przezeń firmy.
Drodzy Prezesi Zarządów, Dyrektorzy Generalni, Główni Menedżerowie (itp., itd.)! Zrozumcie wreszcie to, co oczywiste: nie da się zaoszczędzić na bezpieczeństwie informacji w firmie nawet złamanego grosza (o większych kwotach nie wspominając). Pojmijcie, że to właśnie Wy, jako kierownicy jednostek organizacyjnych, jesteście w pełni odpowiedzialni za ochronę i bezpieczeństwo informacji niejawnych i musicie brać pod uwagę wszystkie konsekwencje tego prawnego zobowiązania - tzn. zrozumieć, że to Wam, a nie Waszym pełnomocnikom, grozi odsiadka.

Drodzy Prezesi! To na wielu z Was czeka szary koc na pryczy w areszcie śledczym, "do czasu wyjaśnienia sprawy" (minimum 90 dni, a może być i 9 miesięcy) - za poczynione do chwili obecnej i nad wyraz łatwe do udowodnienia zaniedbania w zakresie bezpieczeństwa informacji niejawnej, ustawowo objętej obowiązkiem ochrony w celu zapewnienia bezpieczeństwa i porządku publicznego oraz bezpieczeństwa ogólnego, nie mówiąc już o zobowiązaniach obronnych.

Szanowni Prezesi! Jeżeli sami nie macie ochoty na wnikliwą lekturę nowych, uzupełniających przepisów (aktualnych rozporządzeń Prezesa Rady Ministrów, Rady Ministrów oraz resortowych - ogłaszanych w Dzienniku Ustaw, Monitorze Polskim oraz w dziennikach urzędowych poszczególnych ministerstw), to może nadeszła pora skorzystania z usług radców prawnych, biura obsługi prawnej lub innej tego typu instytucji?

Na bezpieczeństwie informacji i ogólnym samej firmy nie można robić oszczędności a naruszeń tego typu jest w omawianym środowisku sporo.

Trzeba zrozumieć, do czego może prowadzić droga na skróty przez obszary obowiązującego prawa, przepisów kodeksowych oraz przyjętych w RP zobowiązań względem UE.

Ci spośród Czytelników, których niniejszy artykuł dotyczy bezpośrednio, powinni przypomnieć sobie, o czym mówiłem w trakcie prowadzonych w ich firmach szkoleniach zamkniętych z zakresu ochrony informacji niejawnych, przed czym przestrzegałem w rozmowach z zarządami (kilkukrotnie - w protokołach z przeprowadzonych audytów). Niechaj sami odpowiedzą sobie na pytanie, jakich działań korygujących i naprawczych dokonali, jakie było ich zaangażowanie w realizację tych przedsięwzięć, jak sami oceniają ich skuteczność.

Dla poszerzenia grupy osób świadomych wkraczania biznesu na teren spraw obronnych lub związanych z zachowaniem porządku publicznego i bezpieczeństwa obywateli, po raz kolejny pozwolę sobie wszystkim zainteresowanym przypomnieć, że:

  • za ochronę informacji niejawnych odpowiada kierownik jednostki organizacyjnej (Rozdz. III, Art. 18 ust. 1 ustawy o ochronie informacji niejawnych - t.j. Dz. U. z 2005 r. Nr 196, poz. 1631) - ze wszystkimi tego faktu konsekwencjami;
  • za tworzenie i przestrzeganie procedur bezpieczeństwa oraz kierowanie pionem ochrony informacji niejawnych (a przy tym za podstawowe szkolenie pracowników) odpowiada pełnomocnik ds. ochrony informacji niejawnych, który, zgodnie z prawem, powinien być podporządkowany ww. kierownikowi jednostki organizacyjnej (Rozdz. III, Art. 18 ustawy o ochronie informacji niejawnych - t.j. Dz. U. z 2005 r. Nr 196, poz. 1631); jeżeli za przyzwoleniem tegoż kierownika jest inaczej, to niech ma on pretensje do siebie, a nie do wyznaczonego przez siebie pełnomocnika;
  • kierownik jednostki organizacyjnej może przekazać swoje uprawnienia dowolnej podległej mu osobie (z zarządu, dyrekcji lub wyznaczonej imiennie w inny sposób), ale nie zwalnia go to z ustawowej odpowiedzialności za ochronę informacji niejawnych; w sposób analogiczny jest on obarczony odpowiedzialnością jako właściciel - administrator zasobu informacji osobowych wg ustawy o ochronie danych osobowych (t.j. Dz. U. z 2002 r. Nr 101, poz. 926 z późniejszymi zmianami) oraz odpowiada za bezpieczeństwo tajemnicy przedsiębiorstwa (kodeks spółek handlowych, kodeks cywilny, kodeks pracy, ustawa o zwalczaniu nieuczciwej konkurencji);
  • nieznajomość prawa nie zwalnia z odpowiedzialności, a konsekwencją zapominania o tym jest kara (w zawieszeniu lub bez) dla osób bezpośrednio odpowiedzialnych w świetle obowiązującego w RP prawa - bo w końcu może nastąpić zderzenie z nim (które na ogół jest bardzo bolesne, a czasami trudne do przeżycia).

Osobom z kierownictwa firm, pragnącym realizować swoje ambicje i szczytne cele biznesowe na obszarze rynków związanych z bezpieczeństwem ogólnym i porządkiem publicznym, chciałbym przekazać kilka istotnych informacji o tym, co wiąże się z otrzymaniem Świadectwa Bezpieczeństwa Przemysłowego, a także wystawianiem własnego oświadczenie o stosowaniu ISMS (SoA - ang.: Statement of Applicability) lub uzyskaniem certyfikowanego potwierdzenia wdrożenia ISMS (systemu zarządzania bezpieczeństwem informacji - od ang.: Information Security Management System) jako dowodu systemowego zarządzania bezpieczeństwem informacji w firmie.

Otrzymanie Świadectwa Bezpieczeństwa Przemysłowego jest podstawowym warunkiem dalszych działań biznesowych w segmencie obronnym. W warunkach zmienionych na korzyść przedsiębiorców przepisów ustawowych istnieje kilka wariantów Świadectwa Bezpieczeństwa Przemysłowego, jakie może otrzymać firma.

WARIANT PEŁNY

Zalety:
  1. Nieograniczone możliwości prowadzenia prac i zleceń związanych z ochroną informacji niejawnych w okresie ważności Świadectwa Bezpieczeństwa Przemysłowego dotyczącego informacji niejawnych, w zakresie zrealizowanych zabezpieczeń i zgodnie z wariantem uzyskanego świadectwa do planowanej przez użytkownika klauzuli.
  2. Pełne wykorzystanie (w kategoriach osobowych i organizacyjnych) nakładów finansowych, poniesionych w celu uzyskania Świadectwa Bezpieczeństwa Przemysłowego.
  3. Możliwość certyfikacji zintegrowanego systemu zarządzania jakością i bezpieczeństwem informacji w firmie (in corpore) lub uzupełnienia istniejącego ISO 9001 poprzez uzyskanie certyfikatu ISO 27001 dotyczącego ISMS w firmie (w całości lub w wybranych działach).
Ograniczenia:
  1. Konieczność utrzymania zespołów osób z Poświadczeniem Bezpieczeństwa Osobowego, na obszarze działów głównych (marketing, technologia, sprzedaż) i pomocniczych (pion ochrony, system zarządzania jakością, Wewnętrzny System Kontroli - o ile występuje w firmie i jest certyfikowany przez PCBC).
  2. Konieczność uzupełnienia procesów zarządzania jakością w firmie o procesy specjalne (wraz z ich procedurami i instrukcjami) - tylko nominalnie podległe pełnomocnikowi ds. jakości, a zarządzane przez pełnomocnika ds. ochrony informacji niejawnych - lub realizacja ISMS jako wyodrębnionego certyfikowanego systemu.
Wady:

Trwałe zobowiązania i uregulowania w strukturze organizacyjnej, dokonane zgodnie ze Świadectwem Bezpieczeństwa Przemysłowego, są niemożliwe do ewentualnej zmiany w okresie jego ważności.

WARIANT UPROSZCZONY/NIEPEŁNY

Zalety:
  1. Możliwość wykonywania prac i zleceń związanych z ochroną informacji niejawnych w okresie ważności Świadectwa Bezpieczeństwa Przemysłowego dotyczącego informacji niejawnych, w zakresie zlecanych prac niejawnych, przy wykorzystaniu wskazanych, trwałych rozwiązań organizacyjno-osobowych.
  2. Możliwość uzyskania dla zrealizowanego praktycznie systemu zarządzania bezpieczeństwem informacji certyfikatu zarządzania informacją chronioną - w związku z wykonywaniem ww. prac i zleceń (wyodrębniony obszar zarządzania bezpieczeństwem informacji niejawnych i chronionych ustawowo).
Ograniczenia:
  1. Konieczność utrzymania zespołu osób z Poświadczeniem Bezpieczeństwa Osobowego w działach głównych (marketing, technologia, sprzedaż) i pomocniczych (pion ochrony, system zarządzania jakością itp.).
  2. Konieczność wydzielenia - w strukturze procesów zarządzania jakością w firmie - procesów zarządzania bezpieczeństwem informacji ISMS (grupy procesów specjalnych wraz z ich procedurami i instrukcjami), nie podlegających pełnomocnikowi ds. jakości, weryfikowanych wg wymagań ustawy z dnia 22 stycznia 1999 r. o ochronie informacji niejawnych (Dz. U. Nr 11, poz. 95 z późniejszymi zmianami) i jej rozporządzeń wykonawczych.
Wady:
  1. Trwałe zobowiązania i uregulowania w strukturze organizacyjnej, dokonane zgodnie ze Świadectwem Bezpieczeństwa Przemysłowego, są niemożliwe do ewentualnej zmiany w okresie jego ważności.
  2. Doskonalenie procesów i procedur w ramach ISMS musi uwzględniać zalecenia służb ochrony państwa.
  3. Koszt uzyskania samego Świadectwa Bezpieczeństwa Przemysłowego (opłaty urzędowe) jest tak samo wysoki, jak w wariancie pełnym.


WARIANT DORAŹNY/NIEPEŁNY ZMINIMALIZOWANY

Zalety:

Jest to rozwiązanie stosunkowo tanie (zwłaszcza w ocenie finansistów), a przy braku zamierzeń długofalowych - racjonalne (wskazanie kilku wybranych osób w istniejącej strukturze organizacyjnej wraz ze ścisłym określeniem relacji służbowych dotyczących prac w zakresie Świadectwa Bezpieczeństwa Przemysłowego).


Ograniczenia:
  1. Podporządkowanie grupie krótkotrwałych przedsięwzięć o ograniczonym zakresie i zasięgu biznesowym dość licznej grupy osób o różnym przygotowaniu zawodowym (konieczność uzyskania Poświadczenia Bezpieczeństwa Osobowego dla każdej z nich);
  2. Świadome ograniczenie Świadectwa Bezpieczeństwa Przemysłowego w zakresie postępowania z Informacjami Niejawnymi.
Wady:
  1. W strukturze organizacyjnej mogą działać wyłącznie osoby wskazane zgodnie ze Świadectwem Bezpieczeństwa Przemysłowego, posiadające Poświadczenie Bezpieczeństwa Osobowego; ewentualne zmiany są niemożliwe bez dodatkowej zgody służb ochrony państwa.
  2. Doskonalenie procesów i procedur, realizowane na bieżąco w ramach systemu zarządzania jakością, może okazać się niemożliwe przy ograniczeniach wynikających z wymagań Świadectwa Bezpieczeństwa Przemysłowego.
  3. Brak wydzielonych struktur funkcjonalnych i wyodrębnionej odpowiedzialności osobowej uniemożliwia jednoznaczne określenie zasięgu i zakresu ISMS, co wyklucza działania certyfikacyjne i starania o ewentualny certyfikat, a wydane przez firmę dla celów marketingowych własne oświadczenie o stosowaniu ISMS (SoA) jest trudne do sprawdzenia przez klienta w ramach audytu II strony.
  4. Koszt uzyskania samego Świadectwa Bezpieczeństwa Przemysłowego (opłaty urzędowe) jest tak samo wysoki, jak w wariancie pełnym.

Należy dodać, że nie obejdzie się bez gruntownego przeszkolenia personelu (szkolenie podstawowe: dla całości kadry kierowniczej - tzn. zarządu, menedżerów głównych procesów i średniego personelu kierowniczego; szkolenia doskonalące: wg potrzeb, dla osób zaangażowanych w niejawne kontrakty), a wszelkiego rodzaju "skróty" na tej drodze prowadzą na manowce - konsekwencją są rygory prawne kk RP.

* * *
Szanowni Czytelnicy!

Niniejszym tekstem nie zamierzałem kogokolwiek urazić. Mam po prostu nadzieję, że wywołam pozytywne w skutkach zaniepokojenie i skłonię pewne osoby do wnikliwego przyjrzenia się sytuacji w podległych im firmach. Zaoszczędzi to im samym kłopotów, a służbom państwowym - dodatkowych obowiązków związanych z wyjaśnianiem kolejnych spraw będących skutkiem błędów i pomyłek wynikających z braku szczegółowej analizy problemu i związanego z nim ryzyka prawnego.

Opracował:
dr inż. Marek Blim 

Zabezpieczenia 2/2006

Wszelkie prawa zastrzeżone. Kopiowanie tekstów bez zgody redakcji zabronione / Zasady użytkowania strony